Acerca de las conexiones TLS

Cuando un usuario quiere conectarse a un recurso web a través del protocolo HTTPS, debe establecer una conexión cifrada segura entre el equipo del usuario y el servidor web que aloja el recurso web solicitado. Después de establecer una conexión básica de TCP/IP, el cliente y el servidor intercambian la configuración de cifrado y los certificados de seguridad. Como resultado, se crea un canal de datos cifrados mediante el protocolo TLS (Transport Layer Security [Seguridad de la capa de transporte]). Por este motivo, las conexiones cifradas también se denominan conexiones TLS. Dentro de este canal, los datos se transmiten a través de un protocolo de capas de aplicación, como HTTP.

Si en la aplicación se desactiva el descifrado de las conexiones TLS y SSL, el servidor proxy reenvía los mensajes entre el cliente y el servidor sin intervenir en el proceso para establecer una conexión cifrada. En este caso, los módulos de protección de Kaspersky Web Traffic Security (Antivirus y Antiphishing) no pueden analizar los datos transmitidos dentro del canal de datos cifrados. Esto reduce el nivel de protección de la infraestructura de TI corporativa. Por ese motivo se recomienda activar el descifrado de las conexiones TLS y SSL.

Si el descifrado de las conexiones TLS/SSL está activado en la configuración de la aplicación, el servidor proxy recibe la capacidad de intervenir en el proceso de establecer una conexión. Si este es el caso, la aplicación puede aplicar las acciones definidas en las reglas SSL o las acciones por defecto al tráfico si el tráfico analizado no cumple las condiciones de ninguna regla SSL.

La aplicación proporciona las siguientes acciones para manejar conexiones cifradas:

• Tunnel.
• Tunnel with SNI check.
• Bump.
• Terminate.

Para garantizar el máximo nivel de seguridad, se recomienda seleccionar la acción Bump. Se recomienda utilizar las acciones Tunnel y Tunnel with SNI check solo para recursos web o aplicaciones que no admiten operaciones que implican el descifrado del tráfico transmitido (por ejemplo, aplicaciones bancarias).

Aplicación de las acciones Tunnel, Tunnel with SNI check o Terminate

La siguiente figura detalla los principios según los cuales se establecen conexiones cifradas después de la aplicación de las acciones Tunnel, Tunnel with SNI check o Terminate.

Principios según los cuales se establecen conexiones cifradas después de la aplicación de las acciones Tunnel, Tunnel with SNI check o Terminate

Para establecer una conexión cifrada, se deben seguir los siguientes pasos:

1. Solicitud de cliente

   El cliente envía una solicitud CONNECT al servidor proxy para conectarse con el servidor web. Esta solicitud contiene el nombre de dominio completo (FQDN) o la dirección IP del servidor web que alberga el recurso web solicitado.

2. Redirección de la solicitud al servidor

   El servidor proxy genera y envía una solicitud para conectarse a un servidor web, recibe una respuesta y la reenvía al cliente.

3. Transmisión de la SNI y otra configuración de cifrado del cliente al servidor proxy

   El cliente envía al servidor proxy su configuración de cifrado compatible y el campo SNI, que indica el nombre de dominio completo (FQDN) del recurso web relevante (sitio web).

   Extensión del protocolo TLS que transmite el nombre del sitio web con el que se debe establecer una conexión. La SNI es necesaria en los casos en que varios servicios que operan a través del protocolo HTTPS están alojados por el mismo servidor físico y usan la misma dirección IP, pero cada servicio tiene su propio certificado de seguridad.

4. Verificación de la posible interrupción de la conexión

   Si se aplica la acción Terminate a la solicitud de acuerdo con las acciones especificadas en las reglas SSL o la acción predeterminada, se cancela la conexión. Una página de bloqueo no se muestra al usuario.

5. Transmisión de la SNI y otra configuración de cifrado del cliente al servidor web

   Si no se ha aplicado la acción Terminate a la solicitud, el servidor proxy reenvía en nombre del cliente el campo SNI y otra configuración de cifrado al servidor web.

6. Transmisión del certificado de un recurso web al servidor proxy

   El servidor web devuelve al servidor proxy su propio conjunto de valores de cifrado compatibles y el certificado del recurso web al que solicitó acceso el usuario en función del campo SNI.

7. Transmisión del certificado de un recurso web al cliente

   El servidor proxy reenvía al cliente el certificado y la configuración de cifrado que recibió del servidor web.

8. Establecimiento de una conexión segura

   El cliente y el servidor coordinan el resto de detalles de la conexión. Se crea el canal de datos seguro, y el servidor y el cliente pueden intercambiar datos dentro de este canal.

Aplicación de las acciones Terminate y Bump

La siguiente figura detalla los principios del procesamiento de conexiones cifradas después de la aplicación de las acciones Terminate y Bump. En este caso, los pasos 5 y 7 difieren del mecanismo básico para establecer conexiones cifradas. En el paso 5, el servidor proxy transmite el campo SNI y otra configuración de cifrado en su nombre y no en nombre del cliente. El servidor proxy recibe del servidor web el certificado del recurso web solicitado, genera su propio certificado (de reemplazo) según sus datos y reenvía este certificado de reemplazo al cliente.

Principios del procesamiento de conexiones cifradas después de la aplicación de las acciones Terminate y Bump

La siguiente tabla detalla las diferencias entre cómo maneja la aplicación una conexión cifrada en función de la acción especificada.

Manejo de conexiones cifradas en función de la acción definida

Sin implicación del servidor proxy	Tunnel	Tunnel with SNI check	Bump	Terminate
Solicitud de cliente.	Solicitud de cliente. El servidor proxy permite la creación de un canal seguro basado en la dirección IP o el nombre de dominio completo (FQDN) del servidor web.	Solicitud de cliente.	Solicitud de cliente.	Solicitud de cliente.
Respuesta de servidor.	Respuesta de servidor.	Respuesta de servidor.	Respuesta de servidor.	Respuesta de servidor.
Transmisión de la SNI y otra configuración de cifrado del cliente.	Transmisión de la SNI y otra configuración de cifrado del cliente.	Transmisión de la SNI y otra configuración de cifrado del cliente. El servidor proxy permite la creación de un canal seguro basado en la SNI del recurso web solicitado.	Transmisión de la SNI y otra configuración de cifrado del cliente. El servidor proxy envía estos datos al servidor web como si estos datos fueran del servidor proxy y no del cliente.	Se termina la conexión. Una página de bloqueo no se muestra al usuario.
Transmisión del certificado del recurso web solicitado.	Transmisión del certificado del recurso web solicitado.	Transmisión del certificado del recurso web solicitado.	Transmisión del certificado del recurso web solicitado. El servidor proxy intercepta el certificado enviado por el servidor web y genera su propio certificado de reemplazo según sus datos.	–
Establecimiento de una conexión segura.	Establecimiento de una conexión segura. La aplicación no puede utilizar los módulos antivirus y antiphishing para analizar los datos transmitidos.	Establecimiento de una conexión segura. La aplicación no puede utilizar los módulos antivirus y antiphishing para analizar los datos transmitidos.	Establecimiento de una conexión segura. Se crean dos canales: uno entre el cliente y el servidor proxy, y otro entre el servidor proxy y el servidor web. La aplicación puede analizar el contenido de los canales cifrados y aplicar reglas de procesamiento de tráfico a los datos transmitidos dentro del canal.	–

Inicio de página